[参考译文] PROCESSOR-SDK-AM64X：安全启动

admin

Guru**** 1956055 points

请注意，本文内容源自机器翻译，可能存在语法或其它翻译错误，仅供参考。如需获取准确内容，请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/processors-group/processors/f/processors-forum/1453808/processor-sdk-am64x-secure-boot

器件型号：PROCESSOR-SDK-AM64X

工具与软件：

您好！

我的客户正在开发 AM6xx。

我可以对安全启动有疑问吗？

我认为、如果使用 SBL +**.appimage (MCU+SDK)、所有二进制文件都可以加密。 (安全性为 x.509cert +代码加密)

但如果使用 Linux、我们只能加密 ATF、OPTEE。加密不支持 U-boot/SPL 和内核映像二进制文件。 (安全性仅为 x.509cert)

是这样吗？

您是否有计划支持加密 U-boot、SPL 和内核映像(二进制)？

如果1是正确的、我认为它具有安全方面的基本知识。

因为安全术语仅是 x.509证书,所以主代码不加密。

或者,这是否意味着它是足够安全只检查代码的哈希与 x.509证书中的图像哈希??

谢谢！

3 个月前

0 admin 3 个月前

TI__Guru**** 1956055 points

请注意，本文内容源自机器翻译，可能存在语法或其它翻译错误，仅供参考。如需获取准确内容，请参阅链接中的英语原文或自行翻译。

您好、GR、
总的来说、有两个方面：
-完整性通过 signatuere 认证
-通过加密/解密保密
Linux SDK 当前支持安全启动、仅用于通过签名身份验证进行的完整性检查、而不用于二进制解密。
此致！
-hong

0 admin 3 个月前

TI__Guru**** 1956055 points

请注意，本文内容源自机器翻译，可能存在语法或其它翻译错误，仅供参考。如需获取准确内容，请参阅链接中的英语原文或自行翻译。

您好、Hong：

感谢您提供的信息。

pengwei yu 说：
Linux SDK 当前仅支持通过签名身份验证进行完整性检查的安全引导、但不支持二进制解密。

我知道 Linux SDK 不支持解密。

ATF 和 OPTEE 没有加密？是否仅为 x.509证书？

——

而且、它是否足以确保设备安全、通常只进行签名验证(x.509)？

如果您能告诉我是否有关于安全风险的文档、我将不胜感激。

此致、

0 admin 3 个月前

TI__Guru**** 1956055 points

请注意，本文内容源自机器翻译，可能存在语法或其它翻译错误，仅供参考。如需获取准确内容，请参阅链接中的英语原文或自行翻译。

您好、GR、
ROT (信任根)安全启动是从片上引导 ROM 验证第一级用户引导加载程序开始建立的、其中引导加载程序的完整性通过签名身份验证进行验证。安全启动链可以通过验证下一级软件二进制文件的引导加载程序等(如有必要)扩展...

其中一个基准是通过 Chrome 操作系统中的签名身份验证在完整性检查时验证启动
https://www.chromium.org/chromium-os/chromiumos-design-docs/verified-boot/
https://www.chromium.org/chromium-os/chromiumos-design-docs/verified-boot-crypto/

此致！
-hong

0 admin 3 个月前

TI__Guru**** 1956055 points

请注意，本文内容源自机器翻译，可能存在语法或其它翻译错误，仅供参考。如需获取准确内容，请参阅链接中的英语原文或自行翻译。

您好、Hong：

非常感谢您提供的信息。

我理解。

此致、

处理器（参考译文帖）

处理器（参考译文帖）(Read Only)

[参考译文] PROCESSOR-SDK-AM64X：安全启动